SEC01-BP05 Riduzione dell'ambito di gestione della sicurezza

Stabilisci se è possibile ridurre l'ambito della sicurezza utilizzando servizi AWS che trasferiscono la gestione di alcuni controlli ad AWS (servizi gestiti). Questi servizi possono contribuire a ridurre le attività di manutenzione della sicurezza, come il provisioning dell'infrastruttura, l'impostazione del software, il patching o i backup.

Risultato desiderato: quando scegli i servizi AWS per il tuo carico di lavoro, tieni conto dell'ambito della gestione della sicurezza. Il costo delle spese generali di gestione e delle attività di manutenzione (il costo totale di proprietà o TCO) viene confrontato con il costo dei servizi selezionati, oltre ad altre considerazioni Well-Architected. La documentazione di controllo e conformità AWS viene incorporata nelle procedure di valutazione e verifica dei controlli.

Anti-pattern comuni:

• Implementazione dei carichi di lavoro senza comprendere a fondo il modello di responsabilità condivisa per i servizi selezionati.

• Hosting di database e altre tecnologie su macchine virtuali senza aver valutato un servizio gestito equivalente.

• Mancata inclusione delle attività di gestione della sicurezza nel costo totale di proprietà delle tecnologie di hosting su macchine virtuali rispetto alle opzioni di servizio gestito.

Vantaggi della definizione di questa best practice: l'utilizzo di servizi gestiti può ridurre l'onere complessivo della gestione dei controlli di sicurezza operativi, riducendo così i rischi per la sicurezza e il costo totale di proprietà. Il tempo che altrimenti sarebbe dedicato a determinate attività di sicurezza può essere reinvestito in attività che forniscono maggior valore alla tua azienda. I servizi gestiti possono anche ridurre l'ambito dei requisiti di conformità spostando alcuni requisiti di controllo su AWS.

Livello di rischio associato alla mancata adozione di questa best practice: medio

Guida all'implementazione

Le modalità di integrazione dei componenti del carico di lavoro su AWS sono molteplici. L'installazione e l'esecuzione di tecnologie sulle istanze Amazon EC2 impongono spesso all'utente di assumersi la maggior parte delle responsabilità in materia di sicurezza. Per ridurre l'onere della gestione di alcuni controlli, individua i servizi gestiti AWS in grado di ridurre l'ambito della tua parte del modello di responsabilità condivisa e cerca di capire come utilizzarli nell'architettura esistente. Tra gli esempi è possibile utilizzare Amazon Relational Database Service (Amazon RDS) per l'implementazione dei database, Amazon Elastic Kubernetes Service (Amazon EKS) o Amazon Elastic Container Service (Amazon ECS) per l'orchestrazione dei container o l'utilizzo di opzioni serverless. Quando sviluppi nuove applicazioni, pensa a quali servizi possono contribuire a ridurre i tempi e i costi di implementazione e gestione dei controlli di sicurezza.

Anche i requisiti di conformità possono essere un fattore di scelta dei servizi. I servizi gestiti possono trasferire la conformità di alcuni requisiti ad AWS. Discuti con il tuo team di conformità riguardo al loro livello di familiarità nel sottoporre a audit gli aspetti dei servizi che gestisci e nell'accettare le dichiarazioni di controllo nei relativi report di audit di AWS. Puoi fornire gli artefatti di audit trovati in AWS Artifact ai tuoi revisori o autorità di regolamentazione come prova dei controlli di sicurezza AWS. Puoi anche utilizzare le linee guida sulla responsabilità fornite da alcuni degli artefatti di audit AWS per progettare la tua architettura, insieme alle AWS Customer Compliance Guides. Queste indicazioni aiutano a determinare i controlli di sicurezza aggiuntivi da mettere in atto per supportare i casi d'uso specifici del sistema.

Quando utilizzi servizi gestiti, è bene conoscere il processo di aggiornamento delle loro risorse a versioni più recenti (ad esempio, l'aggiornamento della versione di un database gestito da Amazon RDS o del runtime del linguaggio di programmazione per una funzione AWS Lambda). Anche se il servizio gestito può eseguire questa operazione per tuo conto, la configurazione della tempistica dell'aggiornamento e la conoscenza dell'impatto sulle tue operazioni restano di tua responsabilità. Strumenti come AWS Health possono aiutarti a tracciare e gestire questi aggiornamenti in tutti i tuoi ambienti.

Passaggi dell'implementazione

1. Valuta i componenti del tuo carico di lavoro che possono essere sostituiti con un servizio gestito.

   1. Se stai migrando un carico di lavoro ad AWS, considera la riduzione della gestione (tempo e spese) e la conseguente diminuzione del rischio quando valuti l'opportunità di rehosting, rifattorizzazione, ridefinizione della piattaforma, ricostruzione o sostituzione del carico di lavoro. A volte un investimento aggiuntivo all'inizio di una migrazione può comportare risparmi significativi nel lungo periodo.

2. Prendi in considerazione l'implementazione di servizi gestiti, ad esempio Amazon RDS, invece di installare e gestire le tue implementazioni tecnologiche.

3. Utilizza le linee guida sulla responsabilità in AWS Artifact per definire i controlli di sicurezza da adottare per il tuo carico di lavoro.

4. Tieni un inventario delle risorse in uso e rimani aggiornato con nuovi servizi e approcci per identificare nuove opportunità per ridurre l'ambito.

Risorse

Best practice correlate:

• PERF02-BP01 Selezione delle migliori opzioni di elaborazione per il carico di lavoro

• PERF03-BP01 Uso di un archivio dati dedicato che supporta al meglio i requisiti di accesso e archiviazione dei dati

• SUS05-BP03 Utilizzo dei servizi gestiti

Documenti correlati:

• Planned lifecycle events for AWS Health

Strumenti correlati:

• AWS Health

• AWS Artifact

• AWS Customer Compliance Guides

Video correlati:

• How do I migrate to an Amazon RDS or Aurora MySQL DB instance using AWS DMS?

• AWS re:Invent 2023 - Manage resource lifecycle events at scale with AWS Health